politique de confidentialité

AM Financial Group

1. Confidentialité et notre entreprise

 

Les clients fournissent des renseignements personnels essentiels aux activités du cabinet. La protection de ces renseignements est essentielle au maintien de la confiance des clients. La loi fédérale sur la protection des renseignements personnels, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), ainsi que les lois provinciales de l'Alberta, de la Colombie-Britannique et du Québec régissent la collecte, l'utilisation et la divulgation des renseignements personnels. Un renseignement personnel désigne tout renseignement concernant une personne identifiable, y compris les renseignements médicaux et financiers, ainsi que les renseignements commerciaux, sauf s'il s'agit de « coordonnées professionnelles ». Cela comprend le titre, le numéro de téléphone et l'adresse courriel professionnels, ainsi que les renseignements utilisés dans le cadre de l'emploi, de l'entreprise ou de la profession de la personne.

 

Le cabinet est responsable des renseignements personnels dont il a la gestion et doit prendre les mesures appropriées pour protéger les renseignements personnels et confidentiels en sa possession. Dans certains cas, cela nécessitera l'adoption de nouvelles pratiques commerciales pour protéger les renseignements personnels.

Politique

Le cabinet met à la disposition du public des informations concernant ses politiques et procédures et respecte les directives de confidentialité des sociétés qu'il représente {société).

 

2. Préoccupations et demandes générales

 

Procédure

 

Toute préoccupation, demande d'ordre général ou requête relative à la confidentialité et au cabinet est transmise au responsable de la conformité du cabinet. Ce dernier examinera et accusera réception des demandes dans les 24 heures ou, en cas d'absence, les redirigera vers un centre de traitement approprié. Le client sera informé de l'évolution de la situation par le responsable de la conformité, et une documentation complète de la situation et des activités connexes sera conservée dans son dossier.

 

Le responsable de la conformité du cabinet transmet toute préoccupation en matière de confidentialité, toute demande générale ou toute demande relative aux produits et services de l'entreprise au responsable de la conformité de cette entreprise.

 

2.1 Demandes du client d'accès aux informations personnelles

 

En vertu des lois sur la protection de la vie privée, les clients ont le droit de demander l’accès à leurs renseignements personnels détenus dans les dossiers clients conservés par le cabinet ou l’entreprise et de contester leur exactitude, si nécessaire.

 

Procédure


Toute demande d'accès d'un client aux renseignements personnels contenus dans les dossiers clients du cabinet est transmise au responsable de la conformité du cabinet afin de répondre à la demande du client le plus rapidement possible et au plus tard 30 jours après réception de la demande.

Corriger ou modifier toute information personnelle dont l'exactitude et l'exhaustivité sont contestées et jugées incomplètes. Consigner tout désaccord au dossier et en informer les tiers, le cas échéant.

Suivez le processus de l’entreprise si un client demande l’accès à ses informations personnelles détenues par l’entreprise.

 

2.2 Utilisation abusive des informations personnelles

 

Procédure


Toute utilisation abusive des informations personnelles ou toute violation potentielle des mesures de sécurité relatives aux produits et services de l'entreprise est immédiatement signalée au responsable de la conformité de l'entreprise par le responsable de la conformité du cabinet.

 

2.3 Processus en cas d'incident ou de violation de la vie privée

 

Une atteinte à la vie privée survient lorsqu'il y a perte, accès non autorisé ou divulgation non autorisée de renseignements personnels résultant d'une violation des mesures de sécurité. Une atteinte à la vie privée comprend également la conservation d'informations non conformes à la législation applicable en matière de protection de la vie privée, par exemple des informations qui ne sont plus nécessaires aux fins déterminées.

 

Exemples de violations de la vie privée :


  • Des copies des relevés d'informations personnelles des clients sont volées dans un véhicule
  • L'ordinateur portable du conseiller est perdu/volé et contient des informations personnelles du client
  • Les informations client sur le disque dur de l'ordinateur d'un conseiller sont compromises/piratées
  • Les informations client ne sont pas envoyées par courrier électronique au destinataire prévu, qu'il soit interne ou externe
  • Les informations client arrivent à la mauvaise adresse (quelqu'un d'autre ouvre le courrier)
  • Divulgation de renseignements personnels sans autorisation appropriée ou utilisation de renseignements personnels sans consentement approprié
  • Conserver les informations des clients inactifs plus longtemps que la période de conservation


Politique

 

Les violations présumées, les plaintes ou toute autre préoccupation relative à la confidentialité, qu'elles concernent une personne ou un fournisseur, sont immédiatement signalées au responsable de la conformité du cabinet et/ou à l'entreprise. Ce dernier évaluera, circonscrira, corrigera et contribuera à renforcer les contrôles afin d'éviter que la violation ne se reproduise.

 

Procédure de confinement

Appareils électroniques perdus, volés ou piratés :

Engager le support informatique du cabinet

  • Analysez les ordinateurs à la recherche de logiciels malveillants avant d'accéder à nouveau aux systèmes
  • Contactez immédiatement le service d'assistance de l'entreprise pour faire modifier les mots de passe des systèmes.
  • Déposer une plainte auprès de la police.
  • Modifiez d’autres mots de passe système (par exemple, services bancaires en ligne).


Documents papier perdus ou volés (par exemple, contrats d'assurance, demandes, dossiers clients) :

  • Informez le responsable de la conformité du cabinet, le responsable de la conformité de l'entreprise et le directeur régional/responsable des services commerciaux du cabinet, le cas échéant.
  • Signalez les matériaux volés à la police.

 

Courriels mal acheminés :

  • Rappeler immédiatement l'e-mail.
  • En cas d'échec, contactez le destinataire non prévu pour obtenir une confirmation écrite que l'e-mail a été supprimé.
  • Informez le responsable de la conformité du cabinet, le responsable de la conformité de l'entreprise et le directeur régional/responsable des services commerciaux du cabinet, le cas échéant.

 

Détermination et évaluation des incidents/violations

 

1. Répondez aux questions suivantes :

  • Des renseignements personnels étaient-ils en cause ? Existe-t-il des preuves ou des probabilités que des renseignements personnels aient été en cause, ou est-il impossible de déterminer si de tels renseignements étaient en cause ?
  • Une divulgation ou un transfert non autorisé des renseignements personnels d’une personne a-t-il eu lieu ?
  • La divulgation non autorisée, qu'elle soit intentionnelle, involontaire ou résultant d'une activité criminelle, constitue une atteinte à la vie privée. Des renseignements personnels ont-ils été collectés ou utilisés sans autorisation ?

 

2. Si la réponse aux questions ci-dessus est « oui », une atteinte à la vie privée s’est produite.

 

3. Répondez aux questions d’évaluation des risques :

a. Évaluer la situation

  • Type/sensibilité et quantité d'éléments de données personnelles divulgués (par exemple, numéro de compte bancaire, NAS, données sur les renseignements médicaux/les réclamations)
  • À qui l'information a-t-elle été divulguée/qui l'a obtenue
  • Nombre de personnes touchées
  • Les informations ont-elles été entièrement récupérées ?
  • Délai entre la découverte de l'incident et sa résolution
  • Confirmation écrite qu'il n'y a eu aucune divulgation ou utilisation abusive de la duplication
  • Préjudice potentiel pour la personne (par exemple, vol d'identité, fraude ou autre préjudice, y compris douleur et souffrance ou perte de réputation) ou aucun préjudice connu pour les personnes concernées
  • Valeur marchande potentielle des données
  • Les informations personnelles ont-elles été compromises de manière malveillante, c'est-à-dire s'agissait-il d'une erreur ciblée ou d'une erreur technique/humaine ?
  • L'incident est le résultat d'un problème systémique ou d'un incident similaire survenu précédemment
  • Que les personnes concernées aient été informées ou non
  • La personne concernée est vulnérable (par exemple, un mineur)
  • Attente selon laquelle le Commissaire à la protection de la vie privée peut recevoir des plaintes ou des demandes de renseignements (p. ex. sensibilisation du public)

b. Compte tenu de la sensibilité des informations concernées et de la probabilité que ces informations soient utilisées à mauvais escient, déterminez si la violation présente un « risque réel de préjudice important » pour toute personne dont les informations ont été impliquées dans la violation (« personnes concernées »).

Sur la base de l’évaluation des risques réalisée à la section 3.a), existe-t-il un risque réel de préjudice important ?

 

2.4 Déclaration obligatoire des violations de données en vertu de la LPRPDE

 

  • Lorsque le cabinet considère qu’une atteinte à la vie privée présente un risque réel de préjudice important, il doit en informer les personnes concernées et faire rapport au Commissariat à la protection de la vie privée du Canada (le Commissaire) ou aux organismes de réglementation provinciaux, le cas échéant, dès que possible, même si une seule personne est touchée;
  • Le cabinet doit informer toute autre organisation/entreprise susceptible d’atténuer les dommages causés aux personnes concernées.

 

2.4.1 Notification aux personnes concernées

 

  • Une notification fournie par le cabinet à une personne concernée concernant une violation des mesures de sécurité doit contenir :
  • une description des circonstances de la violation ;
  • le jour ou la période pendant laquelle la violation s’est produite ou, si aucun de ces deux éléments n’est connu, la période approximative ;
  • une description des renseignements personnels qui font l’objet de la violation dans la mesure où ces renseignements sont connus ;
  • une description des mesures prises par l’organisation pour réduire le risque de préjudice qui pourrait résulter de la violation ;
  • une description des mesures que les personnes concernées pourraient prendre pour réduire le risque de préjudice qui pourrait résulter de la violation ou pour atténuer ce préjudice ; et
  • les coordonnées que la personne concernée peut utiliser pour obtenir des informations complémentaires sur la violation.

 

2.4.2 Notification aux régulateurs

  • Signaler au commissaire en utilisant le formulaire de rapport de violation de la LPRPDE
  • Colombie-Britannique – La législation recommande de signaler au Commissaire à la protection de la vie privée tout risque réel de préjudice grave. Consultez la liste de vérification des atteintes à la vie privée de la Colombie-Britannique pour le signalement.
  • Alberta – Commissariat à l'information et à la protection de la vie privée de l'Alberta (OIPC)


2.5 Améliorer

Passez en revue tous les processus, les mises à jour des systèmes, la formation des employés et améliorez-les si nécessaire pour aider à prévenir toute récidive.

 

2.6 Tenue de registres

Conservez des registres de toutes les atteintes à la vie privée pendant 24 mois et fournissez-les au Commissaire sur demande.

 

3. Obtenir le consentement valide et éclairé du client

Le consentement n’est considéré comme valide que s’il est raisonnable de s’attendre à ce que les personnes comprennent la nature, le but et les conséquences de la collecte, de l’utilisation ou de la divulgation de leurs renseignements personnels à laquelle elles consentent.

 

Politique

 

Au début d’une relation avec un client, le cabinet obtiendra le consentement du client pour la collecte, l’utilisation et la divulgation de ses renseignements personnels et l’informera du stockage potentiel hors du pays.

 

Lors de la collecte d'informations auprès de clients et de prospects, expliquez les objectifs de la collecte de ces informations et fournissez des informations sur les politiques de confidentialité du cabinet.

 

Ne divulguez les informations personnelles de vos clients à une autre personne ou entreprise qu'avec le consentement verbal ou écrit du client, ou si la loi l'autorise ou l'exige. Si les informations sont sensibles, un consentement écrit doit être obtenu.

 

Le cabinet recommandera d'autres professionnels ou conseillers à ses clients si ceux-ci le souhaitent ou s'ils pourraient bénéficier de ces services. Le cabinet ne communique jamais le nom de ses clients ni aucune autre information à des tiers pour commercialiser ses services, sauf si le client en a été informé et y a consenti au préalable.

 

Procédure

 

  • Passez en revue l'engagement de confidentialité et le formulaire de dossier client avec le client, et conservez la copie signée dans son dossier pour référence ultérieure. Couvrez :
  • Finalités de la collecte,
  • ·Qui a accès ? Accès du personnel, autres conseillers
  • Cette option couvre les absences temporaires ou de courte durée du cabinet. Elle peut également être nécessaire lorsque le cabinet est dans l'impossibilité de fournir des services aux clients pendant une période prolongée et que l'aide d'un autre conseiller ou d'un nouveau membre du personnel administratif est requise.
  • Utilisation de fournisseurs externes (par exemple, des processeurs d'informations, notamment des gestionnaires de relations clients et des services de stockage en nuage)
  • Probabilité que les renseignements soient stockés à l’extérieur du Canada et soient assujettis à la réglementation, y compris aux lois sur l’accès des autorités publiques de ce pays
  • Consentement au partage des renseignements sur le conjoint; dossiers conjoints et accès à ces renseignements
  • Capacité de l'individu à retirer son consentement à tout moment

3.1 Nouvelles utilisations/accès aux informations clients

 

Politique

 

Le cabinet obtiendra le consentement du client si le but de la collecte, de l’accès, de l’utilisation et de la divulgation des renseignements personnels du client change.


Procédure

 

Examinez le nouvel objectif, l’accès, l’utilisation et la divulgation avec le client et conservez une copie du nouveau consentement dans le dossier du client.

 

Si un client s'oppose à un transfert ou à un nouvel accès, il a le droit de :

  • Demander que ses informations ne soient pas divulguées
  • Demander un nouveau conseiller
  • Recevoir les noms d'autres conseillers à contacter ou recevoir le nom et le numéro du directeur régional auprès duquel ils peuvent demander un autre conseiller

 

3.1.2 Contrats avec les fournisseurs

 

Politique

 

Le cabinet exige le consentement du client avant de transférer les informations du client à un fournisseur et conserve le contrôle des informations lors du transfert des informations personnelles à un fournisseur pour traitement.

 

Les transferts d’informations aux fournisseurs à des fins de traitement, y compris le cloud computing, sont effectués pour diverses raisons, notamment le stockage, le traitement ou la manipulation des informations personnelles des clients.

 

Procédure

 

Avant de conclure, de modifier substantiellement ou de renouveler un accord contractuel avec un fournisseur, le cabinet évalue si le fournisseur dispose ou non de mesures de protection appropriées pour protéger les informations des clients.

 

Le cabinet vérifiera auprès de son conseiller juridique avant d'accepter les conditions du fournisseur et conservera une copie imprimée de l'accord pour les dossiers du cabinet.

 

Considérations relatives à l’évaluation :

  • Expérience commerciale : Évaluer l’expérience et la compétence technique du fournisseur pour mettre en œuvre et soutenir les activités prévues.
  • Depuis combien de temps le fournisseur est-il en activité ? Un nouveau fournisseur pourrait ne pas avoir un historique suffisant pour permettre au cabinet d'évaluer ses processus et procédures en matière de protection des informations.
  • Réputation : Évaluez depuis combien de temps le fournisseur est présent sur le marché et sa réputation.
  • Obtenir des références pour évaluer la réputation du fournisseur ? Les références des utilisateurs actuels peuvent aider à évaluer sa réputation.
  • Sécurité de l'information :
  • Quelle est leur expérience dans le traitement d’informations personnelles et financières sensibles ?
  • Le fournisseur dispose-t-il d’une politique de confidentialité documentée conformément à la législation sur la confidentialité ?
  • Ont-ils une politique de sécurité physique ou de sécurité de l’information documentée et à jour ?
  • Confirmez auprès du fournisseur que les données qu’il stocke, ainsi que les données en transmission, sont cryptées.
  • Signalement des incidents : Examiner les programmes de signalement et de gestion des incidents du fournisseur afin de s'assurer qu'il dispose de processus clairement documentés pour l'identification, le signalement, l'enquête et la remontée des incidents. S'assurer que le processus de remontée et de notification du fournisseur répond aux attentes du cabinet.
  • Le fournisseur s’engage-t-il à informer le cabinet dans un délai de 48 heures ou moins en cas de violation de la sécurité des données susceptible d’impliquer les informations du client ?
  • En cas de suspicion de faille de sécurité, le fournisseur apporte-t-il son soutien pour mener une enquête ? Les journaux d'accès sont-ils conservés et fournis sur demande ?

 

Planification d’urgence :

  • Le fournisseur dispose-t-il de processus de sauvegarde et de récupération ? Le cabinet pourra-t-il accéder aux fichiers en cas de fermeture du fournisseur ? Que fera le cabinet en cas de perte des fichiers clients ? Le cabinet dispose-t-il d'une sauvegarde ?
  • Notification à l'étranger :
  • Le fournisseur conserve-t-il des données à l'extérieur du Canada, ou des personnes à l'extérieur du Canada y ont-elles accès ? Les renseignements détenus à l'étranger peuvent ne pas bénéficier des mêmes mesures de protection qu'au Canada et ne pas être conformes aux exigences en matière de confidentialité. Privilégiez un fournisseur qui conserve vos renseignements au Canada, sinon le cabinet avisera ses clients que leurs renseignements seront conservés à l'extérieur du Canada.


Lisez attentivement l'accord de licence du fournisseur : il s'agit d'un contrat et en cliquant sur « J'accepte » ou en téléchargeant un logiciel, vous risquez par inadvertance d'exposer les informations stockées sur le site à un risque excessif si les mesures de protection appropriées des informations ne sont pas respectées.

Le prestataire de services ne doit pas impliquer d'autres tiers et/ou partager des données, mettre en commun des données ou avoir des droits d'accès aux informations sensibles des clients, sauf si cela est spécifiquement mentionné dans le contrat du prestataire de services.

Assurez-vous que le fournisseur :

  • Limite l'utilisation des informations à l'objectif spécifié pour exécuter le contrat
  • Limite l'accès aux données aux personnes qui en ont besoin pour exécuter le contrat
  • Limite la divulgation des informations à ce qui est autorisé par la pratique ou requis par la loi
  • Transfère toute demande d'accès ou plainte relative aux informations transférées au cabinet
  • Renvoie ou élimine en toute sécurité les informations transférées à la fin du contrat
  • Rend compte de l'adéquation de ses mesures de sécurité/contrôle des informations personnelles et permet à votre organisation de vérifier la conformité du tiers avec le contrat si nécessaire


Comprendre:

  • Comment résilier le contrat avec le fournisseur et garantir la suppression ou la restitution des données. Un fournisseur qui ne supprime ni ne restitue des informations peut présenter un risque pour les données du client et, par conséquent, pour le cabinet.
  • Les limites de la responsabilité du fournisseur de services

 

3.2. Exception de consentement aux transactions commerciales

 

Les transactions commerciales comprennent, par exemple, la vente d’une entreprise, une fusion ou un regroupement de deux ou plusieurs organisations ou tout autre arrangement prescrit entre deux ou plusieurs organisations pour mener une activité commerciale.

 

Politique

Le cabinet transfère des renseignements personnels lorsque cela est nécessaire pour déterminer s'il convient de procéder à une transaction ou pour la finaliser. Ces renseignements doivent être utilisés ou divulgués uniquement aux fins liées à la transaction, protégés de manière appropriée, restitués ou détruits lorsqu'ils ne sont plus nécessaires à cette fin, et les clients concernés doivent être informés du transfert de leurs renseignements personnels à une autre organisation.

 

Procédure

Dès réception des renseignements personnels, le cabinet conclura une entente pour les utiliser ou les divulguer aux seules fins de la transaction, pour les protéger et pour les restituer ou les détruire si la transaction n'a pas lieu. Si la transaction a lieu, le cabinet informera les clients concernés que leurs renseignements personnels ont été transférés à une autre organisation.

 

3.2.1 Accords d'achat/vente

 

Politique

 

Le cabinet utilisera, divulguera et protégera les informations des clients pendant le processus d’évaluation et lors de la recherche d’un acheteur pour le portefeuille d’affaires ou lors de l’achat d’un portefeuille d’affaires.

Procédure

La pratique limite l'identification des informations du client sur les documents partagés avec des tiers et contacte un conseiller juridique pour rédiger un accord de confidentialité approprié qui devrait être signé par les tiers impliqués dans le processus d'évaluation du livre en vue d'une vente ou d'un achat potentiel.

 

3.2.2 Modifications de l'agent officiel (AOR)

 

Politique

 

Pour les AOR initiés par le client, le cabinet suppose le consentement au transfert de l'accès aux informations et aux dossiers du client, le cas échéant, au nouveau conseiller.

 

4. Collecte de renseignements personnels

 

Politique

 

Lors de la collecte de renseignements personnels :

  • Limitez la quantité et le type d’informations recueillies à ce qui est nécessaire aux fins identifiées.
  • Prendre des mesures raisonnables pour garantir que les informations sur les clients et les prospects contenues dans les dossiers clients sont exactes et mises à jour ou corrigées si nécessaire.
  • Prendre les mesures appropriées pour garantir que les informations collectées sont utilisées aux fins identifiées et qu'elles ne sont pas utilisées à d'autres fins ou divulguées à un tiers sans le consentement du client ou du prospect, sauf si la loi le permet autrement.

 

4.1 Enregistrement des appels téléphoniques des clients

 

Politique

 

Tout enregistrement des appels des clients implique la collecte d’informations personnelles et nécessite donc le consentement de l’appelant.

 

Procédure

  • L'enregistrement ne peut avoir lieu qu'avec le consentement de la personne. Si l'appelant s'oppose à l'enregistrement, proposez-lui des alternatives pertinentes et, s'il persiste dans son refus, cessez immédiatement l'enregistrement et détruisez tout enregistrement éventuellement créé.
  • Enregistrez uniquement les appels à des fins spécifiques.
  • La personne doit être informée que la conversation est enregistrée au début de l’appel et veillera à être informée des fins auxquelles les informations seront utilisées.
  • Assurer le respect de la législation applicable en matière de confidentialité.
  • Si une copie du dossier client est demandée, fournir l’enregistrement ou la transcription de l’enregistrement des appels avec le client.

 

5. Utilisation, divulgation et conservation

 

Politique

 

Les renseignements personnels ne sont pas, sans consentement, utilisés ou divulgués à un tiers à des fins autres que celles pour lesquelles ils ont été recueillis, à moins qu’une telle utilisation ou divulgation ne soit requise ou autorisée par la loi.

 

Le cabinet conserve les renseignements personnels uniquement aussi longtemps que nécessaire pour atteindre l’objectif identifié ou comme autrement requis ou autorisé par la loi et est seul responsable de la conservation de ce matériel et du maintien de sa confidentialité.

 

Les renseignements personnels qui ne sont plus nécessaires pour atteindre les objectifs identifiés lors de leur collecte sont détruits ou effacés de manière sécurisée.

 

5.1 Élimination sécurisée

 

Politique

  • Lorsque des documents papier contenant des informations personnelles sur un client ou un prospect doivent être détruits, cela se fait par déchiquetage et non par recyclage.
  • Les informations sont supprimées de toutes les technologies de l'entreprise avant leur destruction. Les supports de stockage doivent être détruits lors de leur mise au rebut afin de garantir l'irrécupération des informations.
  • Lors de l’élimination ou de la destruction d’informations personnelles, prenez les mesures appropriées pour empêcher les parties non autorisées d’y accéder.
  • Lors de l'élimination d'équipements ou de dispositifs utilisés pour stocker des informations personnelles (tels que des classeurs, des ordinateurs, des disquettes et des bandes audio), prenez les mesures appropriées pour supprimer ou effacer toute information stockée ou pour empêcher l'accès par des parties non autorisées.

 

5.2 Conservation des enregistrements

 

Politique

 

Les dossiers et les registres des clients du cabinet sont conservés pendant au moins la période minimale requise par la loi.

 

6. Garanties

 

Politique

 

Des mesures de protection appropriées doivent être prises lors du stockage et de la destruction des informations des clients. Toute personne travaillant pour le cabinet ou sous contrat avec celui-ci est tenue de suivre les procédures décrites dans cette section.

 

Procédure

 

Le cabinet utilise des mesures de protection technologiques, physiques et organisationnelles pour protéger les renseignements personnels des clients contre le vol ou l’utilisation abusive, ainsi que contre l’accès, la divulgation, la copie, l’utilisation ou la modification non autorisés.

 

6.1 Garanties technologiques

 

Les exemples de technologies nécessitant des mesures de protection peuvent inclure :

  • Ordinateurs - ordinateurs de bureau, ordinateurs portables, serveurs et assistants numériques personnels (tablettes/smartphones)
  • Matériel et logiciel
  • Appareils mobiles
  • Supports portables - Clés USB, CD et DVD
  • Imprimantes, scanners, télécopieurs et photocopieurs avec options d'impression sécurisées
  • Services de courrier électronique et Internet (par exemple, le cloud computing)

 

6.1.2 Chiffrement, antivirus et pare-feu

 

Politique


  • Des logiciels de chiffrement, des antivirus et des pare-feu sont installés et maintenus à jour sur toutes les technologies de l'entreprise afin de garantir la sécurité des données clients. Cela inclut le chiffrement des données sensibles pendant leur stockage et leur transfert, y compris leur transmission vers des serveurs de sauvegarde.
  • Les mesures de protection des technologies commerciales sont revues chaque année et mises à niveau si nécessaire.
  • Lorsque la technologie est sans surveillance ou transportée, tous les appareils sont éteints. Se déconnecter, verrouiller ou laisser l'appareil en mode veille peut rendre les mesures de sécurité supplémentaires inefficaces.

 

6.1.3 Économiseurs d'écran, identifiants et mots de passe

Le cryptage n’élimine pas le besoin de mots de passe forts.

  • Protégez l’identifiant utilisateur et les mots de passe et ne les partagez jamais avec qui que ce soit.
  • Choisissez des mots de passe forts (utilisez des majuscules, des minuscules, des chiffres et des symboles d’une longueur minimale de huit caractères).
  • Évitez d’utiliser des noms propres et des mots trouvés dans les dictionnaires (par exemple, assurance, mot de passe) ainsi que des informations personnelles, comme les noms de famille et d’animaux de compagnie, les anniversaires, les numéros d’identification gouvernementaux ou les mots associés aux passe-temps et aux intérêts.
  • Utilisez des économiseurs d’écran protégés par mot de passe pour empêcher tout accès non autorisé aux ordinateurs sans surveillance.
  • Verrouillez les ordinateurs en cliquant sur « verrouiller l'ordinateur » lorsque vous vous éloignez temporairement de votre ordinateur.

6.1.4 Courriel sécurisé

 

Protection par mot de passe

Lors du traitement d'informations sensibles, les courriels contenant des informations personnelles doivent être protégés par un mot de passe pour le fichier/document ou, si possible, chiffrés. Les mots de passe doivent être communiqués par téléphone.

 

Les garanties suivantes sont prises en compte :

 

6.2.1 Conception des bureaux

 

  • Les bureaux/espaces de travail sont disposés hors du flux de circulation au sein du bureau.
  • Les télécopieurs, les photocopieurs, les imprimantes, etc. sont situés dans des zones où l’accès est raisonnablement limité.
  • Les associés/personnels qui traitent des informations sensibles sur les clients sont situés, dans la mesure du possible, dans une zone où les conversations ne seront pas facilement entendues.
  • Les dossiers d'informations personnelles des clients sont situés hors du flux de circulation de la zone.
  • Les classeurs verrouillés sont utilisés pour les dossiers contenant des informations personnelles.

 

6.2.2 Ordinateurs et appareils grand public

 

Prenez toujours des mesures pour vous protéger contre le vol d'ordinateurs portables et d'appareils mobiles en utilisant un dispositif de sécurité antivol (par exemple, un câble de verrouillage), que ce soit au bureau, à la maison, dans une salle de réunion ou une chambre d'hôtel, etc.

 

  • Rangez votre appareil dans un endroit sûr lorsque vous ne l’utilisez pas.
  • Pour éviter les vols, évitez de laisser votre ordinateur portable dans un véhicule. Si vous devez absolument le laisser, rangez-le dans le coffre ou dans un autre endroit hors de vue.
  • Éteignez et éteignez votre ordinateur portable : cela garantira que toutes les applications ont été correctement fermées.
  • Déconnectez-vous de tous les sites web ou programmes lorsque vous avez fini de les utiliser. Et n'oubliez pas de ne pas enregistrer vos informations pour vous reconnecter automatiquement la prochaine fois : en cas de perte ou de vol de votre appareil mobile, quelqu'un pourrait accéder à vos comptes ou fichiers.
  • Les ordinateurs et les appareils grand public (et, le cas échéant, les ordinateurs des associés/du personnel) sont stockés en toute sécurité pour empêcher tout accès pendant toutes les absences (soirées, week-ends, maladies et vacances).

 

Sécurisation des ordinateurs portables

 

Au bureau, pendant la journée, les ordinateurs portables sont verrouillés à l'aide d'un câble de verrouillage et solidement ancrés à un meuble fixe ou à une station d'accueil sécurisée. La clé du cadenas est conservée dans un endroit sûr, loin de l'ordinateur portable.

Lorsque vous quittez le travail à la fin de la journée de travail, les ordinateurs portables sont rangés dans une armoire ou un tiroir verrouillé et la clé de verrouillage est stockée dans un endroit sûr, loin de l'ordinateur portable.

Les règles de sécurité des ordinateurs portables décrites ci-dessus s'appliquent toujours lorsque les portes du bureau sont verrouillées.


Sur la route:

 

  • Soyez prudent avec les points d'accès Wi-Fi publics, car ils pourraient être interceptés. Évitez d'effectuer des opérations bancaires, des achats en ligne ou d'accéder aux ressources de l'entreprise via ces connexions. Il est préférable de réserver les transactions sensibles à un réseau auquel vous faites confiance. Soyez également prudent lorsque vous utilisez votre appareil mobile hors de votre pays d'origine. L'écoute et l'analyse du trafic peuvent être plus fréquentes sur un réseau étranger. Lorsque vous travaillez, placez votre ordinateur portable de manière à ce que seul l'utilisateur puisse voir les informations personnelles affichées à l'écran.
  • Enregistrez les numéros de série et de modèle de l’ordinateur portable et conservez-les dans un endroit séparé.
  • Transportez votre ordinateur portable dans un sac discret. Privilégiez un sac rembourré, comme un sac à dos, plutôt qu'un sac fourre-tout classique pour transporter votre ordinateur portable en toute sécurité.
  • Gardez les ordinateurs portables hors de vue en les rangeant dans le compartiment verrouillé de la voiture pendant le voyage pour éviter le vol.
  • Ne placez jamais d'ordinateurs portables dans le coffre d'un taxi ou d'une limousine, car la plupart des chauffeurs ne verrouillent pas leur coffre.
  • N'enregistrez jamais d'ordinateurs portables auprès des hôtels ou des compagnies aériennes.
  • Après avoir placé votre ordinateur portable sur le tapis roulant à rayons X d'un aéroport, surveillez le sac et ne laissez personne vous dépasser dans la file d'attente.
  • À la maison ou à l'hôtel, sécurisez votre ordinateur portable comme vous le feriez au travail. Munissez-vous du câble de verrouillage, verrouillez l'ordinateur et rangez-le hors de vue.
  • Les chambres d'hôtel équipées d'un système d'accès par carte permettent de conserver une trace précise des personnes ayant visité la chambre et de leur date de visite. Les clés métalliques peuvent être perdues et dupliquées. Si la chambre d'hôtel est équipée de clés métalliques, pensez à ne pas y laisser votre ordinateur portable.

 

6.2.3 Bureaux et dossiers

 

  • Les informations personnelles sensibles ou autres documents clients ne doivent jamais être laissés sans surveillance. Lorsque des informations personnelles doivent être accessibles au format papier à des fins professionnelles, tous les fichiers et leur contenu doivent être conservés de manière à être protégés de la vue des personnes non autorisées.
  • Assurez-vous que toutes les informations personnelles sensibles sont sécurisées dans des pièces, des armoires et/ou des tiroirs de bureau verrouillés lorsqu'elles ne sont pas utilisées activement et que l'accès est restreint de manière appropriée.


Documents en dehors des locaux commerciaux

 

Les informations des clients doivent être protégées, que ce soit au bureau, dans la voiture ou ailleurs. Les dossiers papier contenant des informations personnelles ne doivent être retirés du bureau qu'en cas d'absolue nécessité ou pour assurer un service client adéquat.

 

À des fins de suivi, tous les dossiers et documents sont enregistrés avant d'être retirés des locaux pour consultation en cas de perte ou de vol. Tous les collaborateurs doivent être informés de cette exigence et s'y conformer.

 

6.3 Communiquer des informations confidentielles à d'autres

 

  • Ne discutez jamais de clients dans des lieux publics tels que des ascenseurs, des cafétérias ou des restaurants.
  • Lorsque vous partagez des informations personnelles sur un client ou un employé sur un téléphone portable, prenez des précautions pour éviter d’être entendu.
  • Lorsque vous lisez les renseignements personnels d’un client dans les transports en commun tels que les trains, les avions ou les autobus, placez les documents de manière à empêcher toute autre personne de les lire.

 

6.3.1 Messagerie vocale

 

Les messages laissés aux clients ne doivent contenir aucune information personnelle, sauf si le client est informé au préalable qu'ils peuvent contenir des informations personnelles. Le client doit également confirmer qu'il souhaite que ces informations soient communiquées sur sa messagerie vocale.

 

6.3.2 Authentification de l'appelant

 

Si une demande est faite par téléphone, il est nécessaire d’authentifier cette personne avant de lui fournir des informations personnelles.

 

Pour authentifier l'appelant, celui-ci doit répondre correctement à trois des questions suivantes. Posez toujours les questions dans cet ordre.

 

  • Nom complet du ou des propriétaires
  • Pour la personne appelant au nom de la succession, demandez le nom complet du propriétaire décédé
  • Pour le propriétaire - en fiducie, assurez-vous que le nom de l'appelant correspond au nom du fiduciaire sur le système
  • Pour une procuration, l'appelant doit fournir le nom du mandataire qui correspond au nom au dossier en plus du nom du titulaire de la police.
  • Numéro de police
  • Numéro d'appartement, numéro de rue, nom de rue et ville
  • Date de naissance de l'assuré/rentier
  • Nom complet de l'assuré/rentier

 

Si la validation échoue, informez l'appelant que le cabinet est responsable de la protection de la vie privée et de la confidentialité des renseignements personnels de ses clients et qu'il ne peut donc divulguer aucun détail sans avoir préalablement vérifié que l'appelant est bien la personne à qui ces renseignements doivent être communiqués. Demandez-lui de soumettre sa demande par écrit.

 

6.3.3 Courriel

 

Les messages ne doivent pas contenir d’informations personnelles, sauf si le client en est informé au préalable et a confirmé qu’il souhaite que ces informations lui soient fournies par courrier électronique.

 

La clause de non-responsabilité suivante est ajoutée à tous les e-mails contenant des informations personnelles sur les clients :

 

Le contenu de cette communication, y compris ses éventuelles pièces jointes, est confidentiel et peut être privilégié. Si vous n'êtes pas le destinataire prévu (ou si vous ne recevez pas cette communication au nom du destinataire prévu), veuillez en informer immédiatement l'expéditeur et supprimer ou détruire cette communication sans la lire, et sans en faire, transmettre ou conserver une copie ou un enregistrement. Merci. Remarque : Nous avons pris des précautions contre les virus, mais déclinons toute responsabilité en cas de perte ou de dommage causé par un virus présent.

 

Authentification des e-mails

 

Les informations sensibles ne doivent pas être communiquées par courriel, sauf à la demande du client. Si une demande est effectuée par courriel, il est nécessaire d'authentifier la personne avant de lui fournir des informations personnelles.

  • Appelez le client et confirmez qu'il a demandé les informations.
  • Assurez-vous que l'e-mail est envoyé au bon destinataire, car les noms figurant dans les listes d'adresses peuvent être similaires.
  • Authentifier le client et obtenir et documenter le consentement pour communiquer par courrier électronique.
  • Cryptez/protégez les fichiers par mot de passe lorsque la divulgation d'informations client identifiables est demandée par courrier électronique.

 

6.3.4 Télécopies

 

Les fax ne doivent pas contenir d’informations personnelles, sauf si le client est informé à l’avance que le fax peut contenir des informations personnelles et a confirmé qu’il souhaite que ces informations soient fournies par fax.

 

La clause de non-responsabilité suivante est ajoutée à la page de garde de tous les fax contenant des informations personnelles sur le client :

 

Le contenu de ce fax, y compris ses éventuelles pièces jointes, est confidentiel et peut être privilégié. Si vous n'êtes pas le destinataire prévu (ou si vous ne recevez pas ce fax au nom du destinataire prévu), veuillez en informer l'expéditeur.

 

 

Veuillez immédiatement supprimer ou détruire ce fax sans le lire et sans en faire, transmettre ou conserver une copie ou un enregistrement de son contenu. Merci.

 

Confirmez le numéro de fax avant d'envoyer les informations personnelles du client

 

  • Soyez attentif aux différents préfixes interurbains (par exemple, 1-866, 1-888, 1-800) et prenez le temps de confirmer le numéro de fax avant d'envoyer. L'utilisation d'un préfixe interurbain incorrect peut facilement entraîner la transmission d'informations personnelles ou confidentielles.
  • Pour les numéros de fax couramment utilisés, pensez à préprogrammer votre télécopieur pour éviter les erreurs.
  • Reconfirmez le numéro de fax avant d’appuyer sur envoyer.
  • Contactez le destinataire une fois le fax envoyé pour confirmer la réception.

 

6.4 Mesures de protection organisationnelles

 

6.4.1 Autorisation et limitation de l'accès selon le principe du « besoin de savoir »

 

  • L'accès aux renseignements personnels est autorisé uniquement en cas de nécessité absolue (c'est-à-dire pour l'exercice de fonctions définies). L'accès aux dossiers (physiques, informatiques et électroniques) est réexaminé lors de l'embauche ou de la mutation d'un collaborateur ou d'un employé.
  • Lorsqu'un employé ou un membre du personnel est en voie de cessation d'emploi, l'accès aux informations sur les clients, y compris les informations électroniques provenant des ordinateurs et de tout autre matériel provenant des zones de travail, est suspendu.

 

6.4.2 Accords de confidentialité

 

Les employés sont sensibilisés à l'importance de préserver la sécurité et la confidentialité des renseignements personnels. Lorsque les renseignements personnels sont sensibles ou que les conséquences potentielles d'une divulgation inappropriée sont importantes, la pratique suivante :

  • Utilise des accords de confidentialité avec les employés
  • Prend les précautions appropriées pour protéger les informations des clients contre les tiers qui peuvent avoir accès aux locaux, c'est-à-dire les services de sécurité, de nettoyage et les fournisseurs.
  • Obtient, le cas échéant, un accord de non-divulgation de la part de la personne ou de la société qui entretient l'appareil si les informations confidentielles ne peuvent pas être supprimées d'un appareil avant de le remettre en réparation.




Share by: